Кілька днів тому стало відомо, що організатори партнерської програми ZIPPRO почали поширювати разом з платними архівами шкідливе пз. Подальші дослідження показали, що зловмисники не просто включають до складу своїх архівів шкідливі програми, але і використовують для їх завантаження власного троянця.
Моніторинг серверів партнерської програми ZIPPRO показав, що, крім уже згаданого раніше Trojan.Mayachok.1користувачі , що скачують платні архіви, отримують як «безкоштовного доповнення» та інші шкідливі програми. Серед них - існуюче з 2011 року сімейство троянців, відоме під загальним ім'ям Trojan.Zipro, авторами яких є організатори партнерської програми ZIPPRO.
При відкритті архіву Trojan.SMSSend, створеного з використанням програмного забезпечення ZIPPRO, відбувається завантаження зашифрованого і стисненого виконуваного файлу, який запускається в момент припинення роботи основного модуля Trojan.SMSSend.
Корисне навантаження завантажується з певного IP-адреси. Проста перевірка показує приналежність цього адреси до партнерської програми ZIPPRO, що, безумовно, підтверджує авторство даного троянця.
Ще одним підтвердженням авторства є та обставина, що при спробі звернутися до даного IP-адресою в браузері відкриває веб-сторінка партнерської програми ZIPPRO.
Запущене в інфікованої системі програма намагається завантажити в пам'ять комп'ютера динамічну бібліотеку, яка містить Trojan.Zipro. Потім вже завантажений в пам'ять модуль починає установку троянця в операційній системі: модифікує системний реєстр, створюючи гілку HKCU\SOFTWARE\Win32ServiceApp і зберігаючи туди ряд конфігураційних параметрів, записує на диск файл троянської програми, реєструє шлях до нього в гілці реєстру, що відповідає за автоматичне завантаження додатків, і запускає троянця на виконання. При цьому шкідлива програма не встановлюється в операційній системі, якщо в ній вже встановлено конструктор платних архівів ZIPPRO.
Запустившись в операційній системі, Trojan.Zipro читає з реєстру власні конфігураційні дані, встановлює з'єднання з належним зловмисникам віддаленим сервером і завантажує звідти шкідливе додаток - серед них був помічений не тільки згаданий раніше Trojan.Mayachok.1. На тих же серверах, з яких здійснюється завантаження цього шкідливого програми, був виявлений небезпечний банківський троянець сімейства Trojan.Carberp. Після закінчення завантаження Trojan.Zipro запускає завантажену шкідливу програму. Якщо спроба завантажити шкідливе додаток з віддаленого сайту не вдалася, троянець видаляє себе з системи.
